> >ดูข้อตกลงทั้งหมด

บทต่อท้ายผู้ควบคุมการคุ้มครองข้อมูลสำหรับผลิตภัณฑ์ประมวลผลบัตรโดยตรง

 

เวอร์ชัน 2.0

บทต่อท้ายผู้ควบคุมการคุ้มครองข้อมูลนี้ ("บทต่อท้าย" นี้) มีผลบังคับใช้กับผลิตภัณฑ์ใดๆ ที่บริษัทในเครือ PayPal ("PayPal") ให้บริการ Braintree และบริการเกตเวย์และการชำระเงินด้วยบัตรที่คล้ายกันอื่นๆ และ/หรือบริการเครื่องมือตรวจสอบการฉ้อโกงให้แก่คุณ ซึ่งเป็นผู้ค้า ("ผู้ค้า" หรือ "คุณ") บทต่อท้ายนี้ไม่มีผลบังคับใช้กับบริการกระเป๋าสตางค์ที่มีแบรนด์ PayPal เช่น การชำระเงินแบบด่วน หรือการชำระเงินด้วยปุ่ม PayPal บทต่อท้ายนี้จะถือเป็นส่วนหนึ่งของข้อตกลงที่เกี่ยวข้องระหว่างผู้ค้าและ PayPal ซึ่งควบคุมข้อกำหนดของบริการประมวลผลการชำระเงินที่ PayPal มอบให้คุณ ("ข้อตกลง") ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดของบทต่อท้ายนี้กับข้อตกลง ข้อกำหนดของบทต่อท้ายนี้จะถูกนำมาบังคับใช้ คำที่เป็นตัวหนาที่ใช้แต่ไม่ได้นิยามไว้ในบทต่อท้ายนี้จะมีความหมายตามที่กำหนดไว้ในข้อตกลง

บทต่อท้ายนี้มีผลบังคับใช้ (i) ในวันที่มีผลบังคับใช้ที่ระบุไว้ในข้อตกลง หรือ (ii) ในวันที่มีผลบังคับใช้ที่ระบุไว้ในประกาศซึ่งแจ้งให้คุณทราบเกี่ยวกับการแก้ไขข้อตกลงหรือบทต่อท้ายนี้ แล้วแต่ว่าอย่างใดจะเกิดทีหลัง เราอาจแก้ไขบทต่อท้ายนี้ได้ตลอดเวลา โดยเราจะนำบทต่อท้ายฉบับแก้ไขมาลงประกาศไว้ในเว็บไซต์ของเรา บทต่อท้ายฉบับที่แก้ไขใหม่จะมีผลบังคับใช้ในทันทีที่เราลงประกาศ นอกจากนี้ ในกรณีที่เราเปลี่ยนแปลงบทต่อท้ายในลักษณะที่เป็นการลดสิทธิ์ของคุณหรือเพิ่มความรับผิดชอบของคุณ เราจะแจ้งให้คุณทราบเป็นลายลักษณ์อักษรล่วงหน้าภายในกรอบเวลาที่ข้อตกลงกำหนดไว้โดยการลงประกาศไว้ในหน้า "การอัปเดตนโยบาย" ในเว็บไซต์ของเรา นอกจากนี้ เราอาจแจ้งให้คุณทราบเกี่ยวกับการเปลี่ยนแปลงโดยใช้อีเมลหรือวิธีอื่น ถ้าคุณไม่เห็นด้วยกับการเปลี่ยนแปลงใดๆ ในบทต่อท้าย คุณสามารถยุติการใช้ข้อตกลงได้ตลอดเวลา

คำจำกัดความ
คำต่อไปนี้มีความหมายตามที่ระบุด้านล่างเมื่อใช้ในบทต่อท้ายนี้:

"ผู้ควบคุม" หมายถึง นิติบุคคลที่ กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล หรือในกรณีที่คำดังกล่าว (หรือคำที่มีการใช้งานที่คล้ายคลึงกัน) ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูล "ผู้ควบคุม" จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

"ลูกค้า" หมายถึง ลูกค้าของคุณที่ใช้บริการประมวลผลการชำระเงินนอกสหรัฐอเมริกา ซึ่งเป็นเจ้าของข้อมูลตามวัตถุประสงค์ของบทต่อท้ายนี้

ข้อมูลลูกค้า” หมายถึง ข้อมูลส่วนบุคคลที่ (i) ลูกค้าให้ไว้แก่ผู้ค้า และผู้ค้าได้ส่งต่อไปยัง PayPal ผ่านการใช้บริการประมวลผลการชำระเงินโดยผู้ค้าซึ่ง (ii) PayPal อาจเก็บรวบรวมข้อมูลนี้จากอุปกรณ์และเบราว์เซอร์ของลูกค้าผ่านการใช้บริการประมวลผลการชำระเงินของผู้ค้า ข้อมูลของลูกค้าตามที่ใช้ในบทต่อท้ายนี้ไม่รวมถึงข้อมูลส่วนบุคคลของลูกค้าในสหรัฐอเมริกาของผู้ค้า

"กฎหมายคุ้มครองข้อมูล" หมายถึง กฎหมายคุ้มครองข้อมูล ข้อบังคับ คำสั่ง ข้อกำหนด และระเบียบข้อบังคับ และประมวลการปฏิบัติที่เกี่ยวข้องกับการให้บริการประมวลผลการชำระเงิน รวมถึงการแก้ไขใดๆ ที่เกี่ยวข้อง และข้อบังคับหรือเครื่องมือใดๆ ที่เกี่ยวข้อง (เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล (สหภาพยุโรป) ค.ศ. 2016/679 (GDPR), พระราชบัญญัติความเป็นส่วนตัวออสเตรเลีย ค.ศ. 1988 (Cth) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (แคนาดา), กฎหมายคุ้มครองข้อมูลส่วนบุคคล (ความเป็นส่วนตัว) (Cap.486) (ฮ่องกง) กฎหมายคุ้มครองข้อมูลส่วนบุคคลบราซิล, กฎหมายของรัฐบาลกลางเลขที่ 13,709/2018 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ค.ศ. 2012 (สิงคโปร์))

"บริษัทในเครือ PayPal" หมายถึง PayPal, Inc. และบริษัททั้งหมดที่ PayPal หรือผู้สืบทอดของ PayPal เป็นเจ้าของหรือควบคุมโดยตรงและโดยอ้อมในวาระใดวาระหนึ่งหรือหลายวาระ

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือสามารถระบุตัวตนได้ ("เจ้าของข้อมูล") บุคคลธรรมดาที่สามารถระบุตัวตนได้คือผู้ที่สามารถระบุตัวตนได้โดยทางตรงหรือทางอ้อมโดยการอ้างอิงข้อมูลระบุตัวตน เช่น ชื่อ หมายเลขประจำตัวประชาชน ข้อมูลตำแหน่งที่ตั้ง ข้อมูลระบุตัวตนทางออนไลน์ หรือปัจจัยหนึ่งข้อหรือมากกว่าที่เจาะจงถึงอัตลักษณ์ทางกายภาพ ทางสรีรวิทยา ทางพันธุกรรม ทางสภาพจิตใจ ทางเศรษฐกิจ ทางวัฒนธรรม หรือทางสังคมของบุคคลธรรมดาดังกล่าว

"ขั้นตอน" หรือคำที่ระบุถึงการใช้งานที่คล้ายคลึงกันเมื่อใช้ในบทต่อท้ายนี้จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

PayPal ในฐานะผู้ควบคุมข้อมูล

PayPal จะปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้กับผู้ควบคุมในแง่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลภายใต้บทต่อท้ายนี้ (รวมถึงโดยไม่จำกัดเฉพาะการดำเนินการและการดูแลรักษามาตรการความปลอดภัยที่เหมาะสมทั้งหมดตลอดเวลาที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล) และจะไม่จงใจดำเนินการใดๆ หรืออนุญาตให้มีการดำเนินการใดๆ กับข้อมูลส่วนบุคคลที่อาจนำไปสู่การละเมิดกฎหมายคุ้มครองข้อมูลโดยผู้ค้า PayPal จะโอนเฉพาะข้อมูลส่วนบุคคลเท่านั้นให้กับบุคคลภายนอก ผู้ประมวลผลย่อยหรือสมาชิกของบริษัทในเครือ PayPal เพื่อวัตถุประสงค์ในการให้บริการประมวลผลการชำระเงิน และจะจัดทำข้อตกลงเป็นลายลักษณ์อักษรกับบุคคลภายนอกและผู้ประมวลผลย่อยดังกล่าว โดยมีข้อกำหนดในการคุ้มครองข้อมูลลูกค้าที่มีระดับการคุ้มครองไม่น้อยไปกว่าข้อกำหนดที่ระบุไว้ในบทต่อท้ายนี้

การประมวลผลข้อมูลส่วนบุคคลที่เชื่อมโยงกับบริการประมวลผลการชำระเงิน

คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่าผู้ค้าและ PayPal คือผู้ควบคุมที่เป็นอิสระต่อกันในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลโดยเกี่ยวข้องกับบริการประมวลผลการชำระเงิน ดังนั้น PayPal จึงกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลดังกล่าวโดยอิสระ และไม่ได้เป็นผู้ควบคุมร่วมกับผู้ค้าในแง่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าว

คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า PayPal ได้รับอนุญาตให้ใช้ ทำสำเนา และประมวลผลข้อมูลของลูกค้าและข้อมูลการทำรายการชำระเงินเพื่อวัตถุประสงค์ที่จำกัดดังต่อไปนี้:

  • ตามความจำเป็นอันสมควรในการมอบและปรับปรุงบริการประมวลผลการชำระเงินให้แก่ผู้ค้าและลูกค้าของเรา รวมถึงเครื่องมือป้องกันการฉ้อโกง
  • เพื่อตรวจสอบ ป้องกัน และตรวจหาการทำรายการชำระเงินที่ฉ้อโกง และเพื่อป้องกันอันตรายต่อผู้ค้า PayPal และบุคคลภายนอก
  • เพื่อปฏิบัติตามข้อบังคับหรือภาระหน้าที่ทางกฎหมายที่มีผลบังคับใช้กับการประมวลผลและการเก็บรักษาข้อมูลการชำระเงินซึ่ง PayPal ต้องปฏิบัติตาม รวมทั้งภาระหน้าที่ด้านการป้องกันฟอกเงินและการยืนยันตัวตนที่เกี่ยวข้อง
  • เพื่อวิเคราะห์ พัฒนา และปรับปรุงผลิตภัณฑ์และบริการของ PayPal
  • การใช้งานภายใน รวมถึงแต่ไม่จำกัดเฉพาะการวิเคราะห์และเกณฑ์ในการวัดผลข้อมูล
  • เพื่อรวบรวมและเปิดเผยข้อมูลลูกค้าและข้อมูลการทำรายการชำระเงินในรูปแบบรวมที่ไม่สามารถระบุตัวตนของคุณหรือผู้ใช้จากข้อมูลส่วนบุคคลนั้นได้ รวมถึงการคำนวณค่าเฉลี่ยของคุณตามภูมิภาคหรืออุตสาหกรรม
  • ปฏิบัติตามข้อกำหนดทางกฎหมายที่บังคับใช้และให้ความช่วยเหลือแก่หน่วยงานบังคับใช้กฎหมายโดยการดำเนินการตามคำขอให้เปิดเผยข้อมูลตามกฎหมาย และ
  • จุดประสงค์อื่นใดที่แจ้งให้ผู้ค้าทราบ ตราบใดที่วัตถุประสงค์ดังกล่าวเป็นไปตามกฎหมายคุ้มครองข้อมูล

ประกาศจากผู้ค้าไปยังลูกค้า

ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อ (i) แจ้งให้ลูกค้าทราบในนโยบายความเป็นส่วนตัวของตนว่า PayPal เป็นผู้ควบคุมอิสระเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลของลูกค้าตามที่ระบุไว้ในบทต่อท้ายนี้และ (ii) ระบุลิงก์ไปยังนโยบายความเป็นส่วนตัวของ PayPal หรือ Braintree ที่บังคับใช้ไว้ในนโยบายความเป็นส่วนตัวของผู้ค้า

ความช่วยเหลือร่วมกัน

คู่สัญญาทั้งสองฝ่ายตกลงที่จะดำเนินการร่วมกับแต่ละฝ่ายภายในขอบเขตที่จำเป็นตามสมควร ในการช่วยให้อีกฝ่ายดำเนินการตามความรับผิดชอบของตนอย่างเพียงพอในฐานะผู้ควบคุมอิสระภายใต้กฎหมายคุ้มครองข้อมูล คู่สัญญาทั้งสองฝ่ายตกลงว่า ภายในขอบเขตที่ผู้ค้าได้รับคำขอเข้าถึงข้อมูลจากเจ้าของข้อมูลหรือการใช้สิทธิ์ใดๆ ของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูล ผู้ค้าจะดำเนินการตามคำขอเข้าถึงดังกล่าวของลูกค้าโดยตรง นอกจากนี้ ผู้ค้าจะแจ้งให้ลูกค้าทราบด้วยว่าลูกค้าอาจใช้สิทธิ์ความเป็นเจ้าของข้อมูลของตนที่เกี่ยวข้องกับบริการประมวลผลการชำระเงินกับ PayPal ตามคำแนะนำที่ระบุไว้ในนโยบายความเป็นส่วนตัวซึ่งอยู่ที่ www.paypal.com นอกจากนี้ ในกรณีที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยใดๆ ซึ่ง PayPal ได้ตัดสินใจแต่เพียงผู้เดียวว่าจะต้องแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบ และ PayPal ไม่มีข้อมูลติดต่อที่จำเป็นของลูกค้าที่ได้รับผลกระทบเพื่อทำการติดต่อสื่อสารดังกล่าว ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อให้ข้อมูลเกี่ยวกับลูกค้าที่ผู้ค้าอาจมีไว้ในครอบครองแก่ PayPal เพื่อวัตถุประสงค์ที่จำกัดในการช่วยให้ PayPal ปฏิบัติตามภาระหน้าที่ในการแจ้งข้อมูลให้ลูกค้าที่ได้รับผลกระทบภายใต้กฎหมายคุ้มครองข้อมูลทราบ

การโอนข้อมูลข้ามพรมแดน

คู่สัญญาทั้งสองฝ่ายตกลงว่า PayPal อาจโอนข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ข้อตกลงฉบับนี้ออกไปนอกประเทศที่รวบรวมข้อมูลได้ตามความจำเป็นเพื่อให้บริการประมวลผลการชำระเงิน ถ้า PayPal โอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองภายใต้บทต่อท้ายนี้ไปยังเขตอำนาจศาลซึ่งเจ้าหน้าที่กำกับดูแลตามกฎหมายที่เกี่ยวข้องของประเทศที่มีการเก็บรวบรวมข้อมูลดังกล่าวยังไม่ได้ออกคำวินิจฉัยเกี่ยวกับมาตรการคุ้มครองที่เพียงพอ PayPal จะตรวจสอบให้แน่ใจว่ามีการดำเนินการป้องกันที่เหมาะสมเพื่อให้การโอนข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ตัวอย่างเช่น และเพื่อให้เป็นไปตามกฎข้อบังคับของ GDPR เรายึดถือกฎองค์กรที่มีผลผูกพันที่ได้รับการอนุมัติโดยหน่วยงานกำกับดูแลที่มีอำนาจและกลไกการโอนข้อมูลอื่นๆ ในการโอนข้อมูลส่วนบุคคลของลูกค้าไปยังบริษัทอื่นๆ ในเครือ PayPal

ในกรณีที่คุณโอนข้อมูลของลูกค้าซึ่งมีฐานที่ตั้งอยู่ในสหภาพยุโรป สวิตเซอร์แลนด์ เขตเศรษฐกิจยุโรป และ/หรือประเทศสมาชิกเขตเศรษฐกิจยุโรป และสหราชอาณาจักร ไปยัง PayPal เราต่างตกลงว่า (i) การลงนามของคุณในข้อตกลงจะถือว่าเป็นลายเซ็นและการยอมรับของผู้ควบคุมที่มีต่อข้อสัญญามาตรฐานของผู้ควบคุมที่ผ่านการรับรองโดยคำวินิจฉัยของคณะกรรมาธิการยุโรป ลงวันที่ 27 ธันวาคม 2004 (C(2004)5721) (“มาตราการโอน C2C”) โดยผู้ค้า ในฐานะผู้ส่งออกข้อมูล และ (ii) ลายเซ็นของ PayPal ในข้อตกลงจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการโอน C2C โดย PayPal ในฐานะผู้นำเข้าข้อมูล ในกรณีที่คณะกรรมาธิการยุโรปได้ปรับปรุงแก้ไขและเผยแพร่มาตราการโอน C2C ใหม่หลังจากนั้นหรือตามที่กำหนดหรือดำเนินการโดยคณะกรรมาธิการยุโรป แต่ละฝ่ายยอมรับว่ามาตราการโอน C2C ใหม่ดังกล่าวจะแทนที่มาตราการโอน C2C ปัจจุบัน มาตราการโอน C2C จะถูกรวมไว้ในข้อตกลงโดยการอ้างอิงและจะถือว่าได้มีการดำเนินการอย่างถูกต้องระหว่างคู่สัญญาทั้งสองฝ่ายเมื่อทำให้ข้อตกลงนี้มีผลบังคับใช้ตามรายละเอียดต่อไปนี้:

  1. PayPal ตกลงว่าจะประมวลผลข้อมูลลูกค้าตามที่กำหนดไว้ในชุด II, มาตรา II (h) (iii) ของมาตราการโอน C2C และการลงนามในข้อตกลงจะถือว่าเป็นการลงลายมือชื่อย่ออย่างถูกต้องและยอมรับมาตรา II (h) (iii) ดังกล่าว และ
  2. คู่สัญญาทั้งสองฝ่ายตกลงว่ารายละเอียดที่จำเป็นภายใต้ภาคผนวก ข ของมาตราการโอน C2C เป็นดังที่ระบุไว้ในเอกสารแนบ 1

เอกสารแนบ 1

ภาคผนวก ข ของมาตราการโอน C2C

เจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับเจ้าของข้อมูลในประเภทต่อไปนี้:

ผู้ส่งออกข้อมูลและลูกค้าของผู้ส่งออกข้อมูล

วัตถุประสงค์ของการโอน
การโอนมีขึ้นเพื่อวัตถุประสงค์ดังต่อไปนี้:

การให้บริการที่ดำเนินการโดยผู้นำเข้าข้อมูลไปยังผู้ส่งออกข้อมูลตามข้อตกลง

ประเภทของข้อมูล
ข้อมูลส่วนบุคคลที่โอนอาจประกอบด้วยข้อมูลประเภทต่อไปนี้:

ชื่อลูกค้า, จำนวนที่จะเรียกเก็บ, วันที่/เวลา, รายละเอียดบัญชีธนาคาร, รายละเอียดบัตรชำระเงิน, รหัส CVC, รหัสไปรษณีย์, รหัสประเทศ, ที่อยู่, ที่อยู่อีเมล, โทรสาร, โทรศัพท์, เว็บไซต์, ข้อมูลวันหมดอายุ, รายละเอียดการจัดส่ง, สถานะภาษี, รหัสระบุลูกค้าที่ไม่ซ้ำกัน, ที่อยู่ IP, ตำแหน่งที่ตั้ง และข้อมูลอื่นใดที่ PayPal ได้รับภายใต้ข้อตกลง

ผู้รับ
ข้อมูลส่วนบุคคลที่โอนอาจมีการเปิดเผยต่อผู้รับต่อไปนี้เท่านั้น:

ผู้ให้บริการของผู้นำเข้า บริษัทในเครือ และบุคลากรที่มีหน้าที่ให้บริการตามข้อตกลง

ข้อมูลที่ละเอียดอ่อน (ถ้าเหมาะสม)
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนประเภทต่อไปนี้:

ไม่สามารถใช้ได้ เว้นแต่ผู้ค้าได้กำหนดค่าบริการให้จัดเก็บข้อมูลดังกล่าว

ข้อมูลการลงทะเบียนการคุ้มครองข้อมูลของผู้ส่งออกข้อมูล (ถ้ามี)

ไม่สามารถใช้ได้

ข้อมูลเพิ่มเติมที่เป็นประโยชน์ (ขีดจำกัดการจัดเก็บข้อมูลและข้อมูลที่เกี่ยวข้องอื่นๆ)

ตามที่ระบุไว้ในข้อตกลง

ช่องทางการติดต่อสำหรับข้อซักถามเกี่ยวกับการคุ้มครองข้อมูล

ผู้นำเข้าข้อมูล: สามารถดูช่องทางการติดต่อสำหรับผู้นำเข้าข้อมูลได้ในข้อตกลง

ผู้ส่งออกข้อมูล: สามารถดูช่องทางการติดต่อสำหรับผู้ส่งออกข้อมูลได้ในข้อตกลง